Các phiên bản gói cũ trong CentOS có nghĩa là chúng không có bản sửa lỗi bảo mật?

Chúng tôi đã yêu cầu quản trị viên cập nhật SVN trên máy chủ CentOS 6.5 của chúng tôi. Ông đã làm như vậy và kết quả là SVN 1.6.11. Tuy nhiên, phiên bản hiện tại của SVN là 1.8.9.

Tôi biết kho lưu trữ của CentOS yum không phải lúc nào cũng cập nhật. Nhưng trong trường hợp đó tôi bối rối: SVN 1.6.x không được hỗ trợ chính thức nữa. Điều này có nghĩa là nó không nhận được bất kỳ sửa lỗi bảo mật!

Làm thế nào để kho lưu trữ CentOS chính thức có thể cung cấp một phiên bản cũ (và nguy hiểm) như vậy? Có một cái gì đó chúng tôi (hoặc quản trị viên của chúng tôi) hiểu sai?

Là một bản phân phối doanh nghiệp, Red Hat khóa các gói trong bản phân phối thành một phiên bản cụ thể, để các tính năng được cung cấp được biết và nhất quán và không thay đổi hành vi bất ngờ trong suốt thời gian cài đặt.

Như bạn đã lưu ý, điều này có nghĩa là phiên bản phần mềm có thể "cũ".

Tuy nhiên, họ cũng sửa lỗi bảo mật backport khi có sẵn, áp dụng chúng cho phiên bản cũ. Ví dụ, một số bản sửa lỗi bảo mật đã được thực hiện để lật đổ vòng đời của bản phân phối. Điều này cho phép giữ một hệ thống an toàn mà không có nguy cơ bị hỏng do sự ra đời của chức năng mới (đôi khi xảy ra).

Bạn có thể lấy thông tin về các bản sửa lỗi bảo mật cụ thể tại trang web của Red Hat bằng cách tìm kiếm số CVE.

Hoặc, để xem lịch sử thay đổi của gói trực tuyến, hãy thử:

rpm -q --changelog subversion

Bạn sẽ thấy các mục gần đây nhất trước tiên, bắt đầu bằng:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (hoặc thực sự, RHEL cùng với CentOS trong chuyến đi) cam kết hỗ trợ phiên bản mà họ đang phân phối cho đến khi HĐH kết thúc; họ chịu trách nhiệm chuyển các bản sửa lỗi bảo mật sang phiên bản cũ / không được hỗ trợ.

Lý do cho điều này là sự ổn định; họ không nâng cấp các phiên bản phần mềm chính trong phiên bản HĐH chính để không phá vỡ tính tương thích của ứng dụng trên các bản cập nhật thông thường. EL 6 chắc chắn đang đi đến điểm mà một số gói đó khá cũ đơn giản là do tuổi của nó và khi các phiên bản gói đó bị khóa; EL 7 chỉ quanh quẩn.

SVN 1.6 có thể không được hỗ trợ ngược dòng nữa; nhưng bạn đã không mua nó từ thượng nguồn, vì vậy nó không thực sự phù hợp. Thời điểm bạn cài đặt một bản phân phối doanh nghiệp, tuyến đường đến phần mềm của bạn chủ yếu thông qua bản phân phối. Nhiều năm lấy được bản phát hành trong tuần này đã khiến mọi người nghĩ rằng đó là khả năng mở rộng, an toàn, nhất quán hoặc đáng tin cậy. Bạn có thể tìm thấy gói alt cho một số phần mềm, nhưng giống như một chiếc BMW 6 tuổi chỉ có Bluetooth 4.0 và không có thay thế động cơ chính kể từ đó, bạn nên biết đó không phải là một dấu hiệu xấu.